Dans un rapport, l’éditeur russe de solutions de sécurité Doctor Web alerte sur un malware baptisé Android.Vo1d. Il aurait infecté environ 1,3 million de boîtiers TV Android dans le monde. Sa présence a été détectée dans 197 pays, avec une surreprésentation du côté du Brésil.
Les cibles privilégiées du malware de type cheval de Troie sont d’anciennes versions d’Android affectées par des vulnérabilités connues. En particulier, Android 7.1, même si les cas d’Android 10 et Android 12 sont également cités.
» Malheureusement, il n’est pas rare que les fabricants d’appareils bon marché utilisent d’anciennes versions du système d’exploitation et les fassent passer pour des versions plus récentes afin de les rendre plus attrayants « , déplore Doctor Web.
Deux vecteurs d’infection supposés
A priori, le vecteur d’infection est une attaque par un malware intermédiaire qui exploite les vulnérabilités du système d’exploitation dans le but d’obtenir des privilèges root. Un autre vecteur possible est le recours à des versions de firmware non officielles avec accès root intégré.
Android.Vo1d agit comme une backdoor pour placer ses composants dans la zone de stockage système. Sur commande des attaquants, il est en mesure de télécharger et d’installer des logiciels tiers.
Le malware doit son nom à sa tentative de déguiser l’un de ses composants en programme système /system/bin/vold. La lettre minuscule » l » est remplacée par le chiffre » 1 « . Doctor Web souligne également une forme de concordance avec le mot anglais » void. «
Pas des appareils Android certifiés par Google
Dans une réaction obtenue par BleepingComputer, Google insiste sur le fait que l’infection touche des appareils hors marque qui ne sont pas des appareils Android certifiés Play Protect. Ils ne fonctionnent pas avec Android TV, mais ont recours à Android Open Source Project (AOSP).
Pour aider à savoir si un appareil est conçu ou non avec Android TV OS et certifié Play Protect, Google aiguille vers son site Android TV et la liste de ses partenaires.